0x01事件导览
本周收录安全热点10项,话题集中在漏洞、恶意软件方面,涉及的组织有:Microsoft、OVH、施耐德、Powerhouse等。黑客利用Exchange漏洞扫描全球,各厂商务必尽快修复。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。
| 恶意程序 |
|---|
| Ryuk勒索软件袭击了700个西班牙政府劳工局办公室 |
| 新的ZHtrap僵尸网络恶意软件部署蜜罐来寻找更多的目标 |
| Metamorfo银行木马滥用AutoHotKey |
| 网络攻击 |
| 全球已有3万台服务器遭到Microsoft Exchange 0day攻击 |
| 伊朗黑客利用远程工具攻击中东和邻近地区 |
| 其它事件 |
| 至少有10个APT组织利用Microsoft Exchange漏洞进行攻击 |
| OVH数据中心火灾,大量数据损毁 |
| 微软3月补丁日修复了82个漏洞,2个0day |
| 网络攻击者利用严重的WordPress插件漏洞 |
| 严重的安全漏洞会导致智能电表离线 |
0x02恶意程序
Ryuk勒索软件袭击了700个西班牙政府劳工局办公室
日期: 2021年03月10日 等级: 高 作者: Sergiu Gatlan 标签: SEPE, Spanish, Spain, Ryuk, Ransomware 行业: 政府机关、社会保障和社会组织
SEPE是西班牙政府的劳工机构,在遭到勒索软件攻击之后,该系统被关闭,此次攻击袭击了西班牙700多家代理商。
该机构网站上的一份声明称:“目前,正在努力尽快恢复优先服务,其中包括国家公共就业服务门户,然后逐步向公民、公司、福利和就业办公室提供其他服务。”
SEPE主管GeradoGuitérrez证实,事件发生后,该机构的网络系统被Ryuk勒索软件运营商加密。
详情
Ryuk ransomware hits 700 Spanish government labor agency offices
新的ZHtrap僵尸网络恶意软件部署蜜罐来寻找更多的目标
日期: 2021年03月12日 等级: 高 作者: Sergiu Gatlan 标签: UPnP, ZHtrap, Honeypots 行业: 跨行业事件
新的僵尸网络正在将受感染的路由器、dvr和UPnP网络设备转化为蜜罐,帮助它找到其他感染目标。这个被360Netlab安全研究人员称为ZHtrap的恶意软件基于Mirai的源代码构建,并支持x86、ARM、MIPS和其他CPU架构。僵尸网络的主要功能包括DDoS攻击和扫描更易受感染的设备。但是,它还具有后门功能,允许操作员下载和执行其他恶意有效负载。ZHtrap使用了类似蜜罐的技术,以此来进行IP收集。
详情
New ZHtrap botnet malware deploys honeypots to find more targets
Metamorfo银行木马滥用AutoHotKey
日期: 2021年03月12日 等级: 高 作者: Tara Seals 标签: Metamorfo, AutoHotKey, Phishing 行业: 金融业
Metamorfo银行特洛伊木马正在滥用AutoHotKey(AHK)和AHK编译器来逃避检测并窃取用户信息。AHK是一种Windows脚本语言,最初是为创建快捷键而开发的。据科芬斯网络钓鱼防御中心(PDC)称,该恶意软件以西班牙语用户为目标,使用两封单独的电子邮件作为初始感染媒介。一个是所谓的下载受密码保护的文件的请求;另一个是关于未决法律文件的精心伪造的通知,带有下载.ZIP文件的链接。在这两种情况下,恶意代码都包含在最终下载到受害计算机的.ZIP文件中。
详情
Metamorfo Banking Trojan Abuses AutoHotKey
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题
4. 减少外网资源和不相关的业务,降低被攻击的风险
5. 条件允许的情况下,设置主机访问白名单
6. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理
0x03网络攻击
全球已有3万台服务器遭到Microsoft Exchange 0day攻击
日期: 2021年03月08日 等级: 高 作者: Liam Tung 标签: Microsoft Exchange Server, Zero-Day, Hafnium 行业: 信息传输、软件和信息技术服务业 涉及组织: microsoft
安全研究人员称,MicrosoftExchangeServer中的0day漏洞正用于对数以千计的组织的广泛攻击,潜在的成千上万的组织受到影响。
这些漏洞的CVE编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-27065。
微软将此次攻击归因于一个新成立的黑客团队,该团队名为Hafnium。
微软表示,这些是有限的针对性攻击,但可能会在不久的将来攻击范围更加广泛。
涉及漏洞
详情
zero-day attacks: 30,000 servers hit already, says report
伊朗黑客利用远程工具攻击中东和邻近地区
日期: 2021年03月08日 等级: 高 作者: The Hacker News 标签: Earth Vetala, ScreenConnect, MuddyWater, PowerShell, RemoteUtilities 行业: 国际组织 涉及组织: twitter, linkedin
涉嫌与伊朗有联系的黑客正攻击中东及周边地区的学术界、政府机构和旅游实体,这是一场旨在窃取数据的间谍活动。 这一最新发现被趋势科技公司称为“EarthVetala”,该研究发现有证据表明,有恶意活动利用ScreenConnect远程管理工具,针对阿联酋和科威特政府机构。 攻击者是伊朗黑客组织MuddyWater,该组织主要对中东国家发动攻势。
详情
Iranian Hackers Using Remote Utilities Software to Spy On Its Targets
相关安全建议
1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等
2. 积极开展外网渗透测试工作,提前发现系统问题
3. 及时对系统及各个服务组件进行版本升级和补丁更新
4. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
5. 注重内部员工安全培训
0x04其它事件
至少有10个APT组织利用Microsoft Exchange漏洞进行攻击
日期: 2021年03月11日 等级: 高 作者: Doug Olenick 标签: ESET, Microsoft Exchange, APT 行业: 跨行业事件 涉及组织: microsoft
据斯洛伐克安全公司ESET的研究人员称,在过去三个月里,至少有10个APT(高级持续性威胁)组织利用未修补的MicrosoftExchange漏洞攻击了数千家公司。
ESET的研究人员公布了每一次攻击的细节,并指出了APT所涉及的组织,或者指出了一个未知的团伙进行了这次攻击。
ESET说,在1月5日微软收到漏洞通知之前,几个APT组织就已经开始攻击了。
涉及漏洞
详情
At Least 10 APT Groups Exploiting Exchange Flaws
OVH数据中心火灾,大量数据损毁
日期: 2021年03月12日 等级: 高 作者: Ax Sharma 标签: OVH, UPS 行业: 信息传输、软件和信息技术服务业 涉及组织: OVH
法国斯特拉斯堡OVHCloud是欧洲最大的主机提供商,也是世界第三大主机提供商。其数据中心遭到了大火的袭击,数据中心托管的站点服务器遭到焚毁,雪上加霜的是服务器中的实时数据并未在其他地点备份。包括巴黎艺术中心和图书馆Pompidou以及新闻网站EENews等大量公司的数据将难以恢复。火灾原因目前定义为UPS电源故障。
详情
OVH data center fire likely caused by faulty UPS power supply
微软3月补丁日修复了82个漏洞,2个0day
日期: 2021年03月09日 等级: 高 作者: Lawrence Abrams 标签: Microsoft, Security Updates, Exchange 行业: 信息传输、软件和信息技术服务业 涉及组织: google, microsoft
在2021年3月9日的更新中,微软已经修复了82个漏洞,其中10个是严重漏洞,72个是高危漏洞。这些数字不包括3月早些时候发布的7个MicrosoftExchange和33个ChromiumEdge漏洞。
3月9日还修补了两个0day漏洞,这些漏洞已公开披露并已知可用于攻击。
涉及漏洞
详情
Microsoft March 2021 Patch Tuesday fixes 82 flaws, 2 zero-days
网络攻击者利用严重的WordPress插件漏洞
日期: 2021年03月10日 等级: 高 作者: Tara Seals 标签: WordPress, Elementor, CVE-2021-24175, Plugin 行业: 信息传输、软件和信息技术服务业 涉及组织: wordpress
用于WordPress的Elementor插件的Plus插件有一个严重的安全漏洞,攻击者可以利用该漏洞快速、轻松地远程接管网站。
研究人员称,该漏洞目前有在野利用。根据开发者的说法,这个插件有超过30000个安装。
该漏洞(CVE-2021-24175)是Elementor的PlusAddons的注册表单函数中存在的特权升级和身份验证绕过问题。
它的CVSS评分为9.8,漏洞危害等级为严重。
涉及漏洞
目前wordpress在全球均有分布,具体分布如下图,数据来自于360 QUAKE
详情
Cyberattackers Exploiting Critical WordPress Plugin Bug
严重的安全漏洞会导致智能电表离线
日期: 2021年03月12日 等级: 高 作者: Tara Seals 标签: Schneider Electric, DDos 行业: 电力、热力、燃气及水生产和供应业 涉及组织: Schneider
施耐德电气智能电表中存在严重的安全漏洞,攻击者可利用该漏洞获得远程代码执行(RCE)路径,或重新启动电表,从而在设备上造成拒绝服务(DoS)情况。施耐德电气的PowerLogicION/PM智能电表产品线与其他智能电表一样,既可供消费者在家中使用,也可供部署这些电表的公用事业公司使用,以便对客户的服务进行监控和计费。它们也被工业公司、数据中心和医疗保健公司使用。
涉及漏洞
详情
Critical Security Bug Can Knock Smart Meters Offline
相关安全建议
1. 及时对系统及各个服务组件进行版本升级和补丁更新
2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本
3. 及时备份数据并确保数据安全
0x05产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x06时间线
2021-03-16 360CERT发布安全事件周报
0x07特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。